facebook urteil srd

Facebook-Fanpages: Was müssen Fanpage-Betreiber jetzt beachten?

In die Debatte über das datenschutzkonforme Betreiben einer Facebook-Fanpage kommt wieder Bewegung.

Zunächst nahm die Konferenz der unabhängigen Datenaufsichtsbehörden des Bundes und der Länder (DSK) am 05.09.2018 zum zweiten Mal Stellung zum viel diskutierten „Fanpage“- Urteil des EuGH. In dem neuen Beschluss werden nun -im Gegensatz zur eher vagen ersten Stellungnahme- konkrete Vorgaben für Fanpage-Betreiber gemacht. Dabei thematisiert die DSK insbesondere die Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Der EuGH hatte in seinem Urteil festgestellt, dass neben Facebook selbst, auch die Fanpage-Betreiber für die Verarbeitung der Daten von Fanpage-Besuchern verantwortlich seien. Gemäß dem Art. 26 DSGVO sind gemeinsam Verantwortliche dazu verpflichtet, in transparenter Form eine Vereinbarung darüber zu treffen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt (sog. Joint-Controllership-Agreement). Zu den von der DSGVO geregelten Pflichten gehören insbesondere die Wahrung der Rechte der von der Verarbeitung betroffenen Personen, wie z.B. das Recht auf Information und Auskunft im Sinne der Art. 13 bis 15 DSGVO.

Facebook stellt Dokument über „Ergänzung“ zur Verfügung

Nachdem Facebook bereits wenige Tage nach dem Urteil eine entsprechende Vereinbarung angekündigt hatte, kamen zunächst keine weiteren Schritte, was zusätzliche Unsicherheit bei Seitenbetreibern hervorrief. Nun allerdings hat Facebook wenige Tage nach der Stellungnahme der DSK reagiert und ein Dokument mit dem Titel „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ zur Verfügung gestellt. Zwar geht aus der Überschrift nicht hervor, dass es sich hierbei um die von der DSGVO geforderte Vereinbarung handelt, allerdings ist dies nach Art. 26 DSGVO auch nicht erforderlich, entscheidend ist der Inhalt des Dokuments. Aus diesem geht hervor, dass die Seitenbetreiber und Facebook Ireland gemeinsame Verantwortliche für die Verarbeitung von Insights-Daten sind. Mithilfe dieser von Facebook bereitgestellten Daten können Seitenbetreiber eine statistische Auswertung über die Besucher ihrer Seite vornehmen. Die Möglichkeit der Nutzung dieser Daten war der ausschlaggebende Punkt in der Entscheidung des EuGH, Seitenbetreiber datenschutzrechtlich zu verpflichten.

Im Umkehrschluss bedeutet dies allerdings auch, dass die Ergänzung der Nutzungsbedingungen nicht für jegliche Datenverarbeitung auf der Fanpage, sondern nur für die Verarbeitung der Insights-Daten gilt.

Zudem garantiert Facebook die zur Verfügungstellung der „wesentlichen Aspekte“ des Dokuments für alle betroffenen Personen, womit auch das Kriterium „in transparenter Form“ i.S.d. Art. 26 DSGVO erfüllt werden soll.

Facebook übernimmt primäre Verantwortung

Wie im Vorfeld bereits zu erwarten war, übernimmt Facebook Ireland die primäre Verantwortung für die Verarbeitung von Insights-Daten. Dies gilt insbesondere für die in den Art. 12 bis 22 DSGVO geregelten Betroffenenrechte.

Zusätzlich wird vereinbart, dass Verantwortlicher für die Datenverarbeitung Facebook Ireland (Hauptniederlassung von Facebook in der EU) sein wird. Dies hat gem. Art 56 DSGVO zur Folge, dass die irischen Datenschutzbehörden europaweit „federführend“ in allen diesbezüglichen Angelegenheiten sein werden. Gerichts- und Streitstand wird ebenso Irland sein. Anfragen nationaler Datenschutzbehörden sind innerhalb von 7 Tagen an Facebook Ireland weiterzuleiten (hierfür wurde ein Formular zur Verfügung gestellt).

Pflichten für Seitenbetreiber

Allerdings sprechen die ergänzten Nutzungsbedingungen für Fanpages die Seitenbetreiber nicht von allen datenschutzrechtlichen Pflichten frei. Die Seitenbetreiber müssen dafür Sorge tragen, dass die Verarbeitung der Insights-Daten auf einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO beruht. In Betracht wird hierbei wohl vor allem eine Erlaubnis nach Art. 6 Abs. 1 S. 1 lit. f DSGVO kommen. Dieser legitimiert die Verarbeitung von personenbezogenen Daten, wenn der Verarbeitende ein dem Betroffenen gegenüber überwiegendes Interesse an der Verarbeitung hat (z.B. Direktwerbung).

Zusätzlich hat der Seitenbetreiber die Pflicht, die Betroffenen über die Verarbeitung der Daten zu informieren, indem auf der Fanpage im Infobereich unter Datenrichtlinie ein Link zur eigenen Datenschutzerklärung aufgeführt und den Nutzern angezeigt wird.

Dementsprechend muss die eigene Datenschutzerklärung mit einem Textbaustein zur gemeinsamen Verantwortlichkeit beim Betrieb der Fanpage samt Rechtsgrundlage ergänzt werden.

Weiterhin schreibt die Vereinbarung den Seitenbetreibern vor, den für die Datenverarbeitung Verantwortlichen zu benennen. Laut einem englischen Hinweis von Facebook können die Angaben zum verantwortlichen Unternehmen und dessen Datenschutzbeauftragetn einschließlich deren Kontaktdaten im Bereich „About“ über „Edit Page Info“ eingetragen werden.

Fazit

Dieser Schritt von Facebook wird die Diskussion um den datenschutzkonformen Betrieb einer Fanpage größtenteils beenden, da die vorhandenen „Regelungslücken“ durch die Vereinbarung geschlossen werden können. Allerdings ist die Reaktion der deutschen Datenschutzbehörden abzuwarten.

Zusätzlich ist darauf hinzuweisen, dass der oben erwähnte neue Beschluss der DSK im Anhang einen Fragenkatalog enthält, den alle Seitenbetreiber (und Facebook) beantworten können sollten. Dieser geht teilweise über die Vereinbarung nach Art. 26 DSGVO hinaus, weshalb trotz der Reaktion von Facebook weiter Klärungsbedarf in Sachen Facebook-Fanpages bestehen wird. Da naturgemäß nur Facebook über alle erforderlichen Informationen verfügt, wird wiederum ein Schritt von dieser Seite notwendig sein.

EU DSGVO Regelungen

EU-DSGVO und das BDSG-Ablösegesetz – Auf welche Regelungen müssen sich deutsche Unternehmen einstellen?

Im Mai 2018 wird die EU-Datenschutzgrundverordnung (EU-DSGVO) wirksam und betroffene Unternehmen müssen sich bis dahin auf weitreichende Änderungen einstellen. Für die nationalen Datenschutzregelungen bedeutet das auch, dass in 21 Monaten das Bundesdatenschutzgesetz größtenteils von der EU-DSGVO abgelöst werden wird. Da diese jedoch nicht alle Regelungen aus dem BDSG betreffen und in der EU-DSGVO weitreichende Öffnungsklauseln enthalten sind, arbeitet die Bundesregierung aktuell unter Hochdruck an einem sogenannten Ablösegesetz, welches unter anderem auf die in der EU-DSGVO nicht thematisierten Inhalte abzielt. Bereits für Oktober 2016 soll ein Entwurf für das BDSG-Ablösegesetz geplant sein.

Hintergrund

Am 9. Juni 2016 hat Peter Schaar, Vorsitzender der EIAD sowie ehemaliger Bundesdatenschutzbeauftragter, zu einer Veranstaltung der Europäischen Akademie für Informationsfreiheit und Datenschutz eingeladen, um in einem gemeinsamen Diskurs mit Branchenvertretern die anstehenden Änderungen der nationalen Datenschutzgesetze und ihre Vereinbarung mit den neuen Regelungen der EU-Datenschutzgrundverordnung zu erörtern. Kernziel der Veranstaltung war die bestmögliche Erhaltung der bisherigen Regelungen des Bundesdatenschutzgesetzes, welche schließlich in Form des BDSG-Ablösegesetzes ihre Anwendung finden sollen.


Welche Inhalte betrifft das BDSG-Ablösegesetz?

  1. Allgemeiner Teil
    Anwendungsbereich, Regelungen zum Datenschutzbeauftragten
  1. Rechtsgrundlagen für die Verarbeitung
    Allgemeine und besondere Verarbeitungssituationen, die Verarbeitung besonderer Kategorien personenbezogener Daten, Videoüberwachung im öffentlichen Raum
  1. Betroffenenrechte: bestandserhaltende Einschränkungen der Betroffenenrechte
  1. Aufsichtsbehörden: grundsätzliche Regelungen, Zusammenarbeit und Kohärenz: Umsetzung der Regelungsaufträge des Kapitels 7 der EU-DSGVO
  1. besondere Verarbeitungssituationen
    Medien, Beschäftigtendatenschutz, Berufsgeheimnisträger, Scoring und Verbraucherkredite
  1. Sanktionen und Rechtsbehelfe


Fazit

Im Ergebnis bedeutet dies, dass sich Unternehmen nunmehr nicht mehr nur mit den Neuregelungen der EU-DSGVO auseinandersetzen müssen, sondern zusätzlich auch mit dem BDSG-Ablösegesetz. Es bleibt also weiterhin spannend im Bereich Datenschutz und Unternehmen stehen vor einer großen Herausforderung, die neuen Regelungen innerhalb der nächsten 1,5 Jahre zu implementieren. Es ist daher jedem Unternehmen anzuraten, bereits jetzt mit der Vorbereitung – beispielsweise durch eine gründliche Bestands- und Risikoanalyse – zu beginnen.

 

 

USA Kundendaten Microsoft

Sieg für Microsoft, Sieg für den Datenschutz: US-Regierung darf nicht auf Kundendaten im Ausland zugreifen!

Am 14. Juni 2016 hat ein New Yorker Berufungsgericht eine wichtige Entscheidung für Microsoft und für den weltweiten Datenschutz gefällt: In dem Gerichtsverfahren zwischen Microsoft und dem US-Justizministerium wurde dem Tech-Giganten Recht gegeben: Danach kann Microsoft den Behörden einen direkten Zugriff auf Kundendaten, welche im Ausland gespeichert werden, verweigern. Gegenstand des Rechtsstreits ist ein Durchsuchungsbefehl der US-Regierung in einem irischen Rechenzentrum von Microsoft zu Zwecken der Drogenfahndung und der Strafverfolgung.

Hintergrund

Bereits im Dezember 2013 wehrte sich Microsoft gegen Forderungen der US-Regierung, auf E-Mails von Microsoft-Usern zur Strafverfolgung zuzugreifen, da sich diese Daten nicht in den USA, sondern im europäischen Ausland befanden. Microsoft argumentierte, dass ein Zugriff von US-Behörden auf Kundendaten in der EU nach europäischem Recht unzulässig ist und zunächst einer vorherigen Zustimmung des Landes bedarf, in welchem die Daten gespeichert sind. Nun bekam Microsoft recht.


Brad Smith
, Präsident und Chief Legal Officer von Microsoft begrüßt das Urteil des Berufungsgerichts. So sei die Entscheidung aus drei spezifischen Gründen so wichtig:

  1. Es gewährleistet den Menschen ihr Recht auf Datenschutz nach nationaler Rechtsordnung und nicht nach dem Recht ausländischer Regierungen wie der USA
  2. Es gewährleistet, dass der Rechtschutz der physischen Welt auch in der digitalen Welt anzuwenden ist
  3. Es ebnet den Weg für bessere Lösungen in der Vereinbarung von Datenschutz und Strafverfolgung

Das Urteil wurde auch von Konkurrenzunternehmen von Microsoft mit Spannung erwartet. Hätte das Gericht der US-Justiz recht gegeben, hätte das laut Branche gravierende Folgen für die US-Wirtschaft haben können.


Was bedeutet das Urteil für Unternehmen?

Das Urteil ist richtungsweisend für alle US-Unternehmen, die in den letzten Jahren aufgrund diverser Diskussionen zu Datenübermittlungen in die USA darauf gesetzt haben, für europäische Kunden europäische Lösungen anzubieten. Mit dem Urteil ist der größte Kritikpunkt an diesen Lösungen entfallen – nämlich, dass trotz europäischem Datencenter ein Zugriff US-amerikanischer Behörden nicht ausgeschlossen werden kann.

Im Ergebnis wird das Urteil dazu führen, dass aufgrund der Unsicherheiten im Hinblick auf Safe Harbor bzw. dem neuen EU Privacy Shield oder einer Datenübermittlung auf Grundlage von Standardvertragsklauseln – Lösungen amerikanischer Anbieter mit europäischen Serverstandorten deutlich mehr an Attraktivität gewinnen.

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.